お知らせ 2023年度・2024年度 学生員 会費割引キャンペーン実施中です
お知らせ 技術研究報告と和文論文誌Cの同時投稿施策(掲載料1割引き)について
お知らせ 電子情報通信学会における研究会開催について
お知らせ NEW 参加費の返金について
電子情報通信学会 研究会発表申込システム
講演論文 詳細		 技報閲覧サービス
[ログイン]
技報アーカイブ
 トップに戻る 前のページに戻る   [Japanese] / [English] 

講演抄録/キーワード
講演名 2011-07-26 14:05
自己組織化マップを用いたWindows OS malware挙動の可視化
安藤類央NICTNC2011-40
抄録 (和) 近年のCommodity OSの複雑化は、マルウェアの挙動を一層洗練化させており、
セキュリティインシデント解析の際には、複雑なデータから構造やパラメータを
抽出し、解析を行う必要がある。自己組織化マップは、教師なし学習アルゴリズムの中でも処理時にクラスタ数を与件とせず、学習時にトポロジーが変化しないことから、セキュリティインシデントに関するデータの構造や識別可能性が不明な初期段階で適用することが有効である。本論文では仮想環境でのマルウェアのデータを取得し、マルウェアの分類可視化を試みる。XEN 上で稼動する仮想マシン上で起こるセキュリティインシデントを、ドメインU のEMIT 命令発行とハイパーバイザーの修正によりドメイン0に通知することで可観測化し、コンソールログを定量化、可視化する手法を提案する。ログの通知時には仮想CPU のコンテキストを用いて、EMIT 命令によりドメインUからHYPERCALL を発行することによりVMENTER とVMEXIT を任意に切り替えることでドメイン0からドメインU へイベントログ文字列を送信する。評価実験では、ドメインU のWindows OS の動的ログ、静的ログをドメイン0へ通知し、自己組織化マップによってイベントの可視化を行う。
この結果、マルウェアの静的なログは分類可視化が困難であり、振る舞いを記録した動的ログに関しては適切な識別が可能であることが明らかになった。 
(英) As commodity OS has compound funcions and utilities, malware's behavisor has become complicated. In security incident analysis, we need to specify the malware without detailed information about structre and parameter.
SOM (self organization map) is an algorithm of nonsupervised and makes
it possible to analyze the malware without expensive preprocessing.
In this paper we propose an interdomain communication protocol of XEN
virtual machine by involing emit instruction. DomainU can convey
information to hypervisor using virtual CPU context in an arbitrary point of Windows kernel by generating hypercall. In experiment, a security incident log of virtualized Windows OS is transferred to hypervisor of which log is visualized by self organization map. We show the result of classification of both dynamic and static log of malware.
キーワード (和) 自己組織化マップ / マルウェア挙動 / 仮想化 / 静的ログ / 動的ログ / / /  
(英) SOM / malware / virtualization / static log / bahavior log / / /  
文献情報 信学技報, vol. 111, no. 157, NC2011-40, pp. 109-114, 2011年7月.
資料番号 NC2011-40 
発行日 2011-07-18 (NC) 
ISSN Print edition: ISSN 0913-5685    Online edition: ISSN 2432-6380
著作権に
ついて		 技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034)
PDFダウンロード NC2011-40

研究会情報
研究会 NC  
開催期間 2011-07-25 - 2011-07-26 
開催地(和) 神戸大学大学院工学研究科 
開催地(英) Graduate School of Engineering, Kobe University 
テーマ(和) 知的システム、一般 
テーマ(英) Intelligent systems and general 
講演論文情報の詳細
申込み研究会 NC 
会議コード 2011-07-NC 
本文の言語 日本語 
タイトル(和) 自己組織化マップを用いたWindows OS malware挙動の可視化 
サブタイトル(和)  
タイトル(英) A visualization method of Windows OS malware using SOM 
サブタイトル(英)  
キーワード(1)(和/英) 自己組織化マップ / SOM  
キーワード(2)(和/英) マルウェア挙動 / malware  
キーワード(3)(和/英) 仮想化 / virtualization  
キーワード(4)(和/英) 静的ログ / static log  
キーワード(5)(和/英) 動的ログ / bahavior log  
キーワード(6)(和/英) /  
キーワード(7)(和/英) /  
キーワード(8)(和/英) /  
第1著者 氏名(和/英/ヨミ) 安藤 類央 / Ruo Ando / アンドウ ルオ
第1著者 所属(和/英) 情報通信研究機構 (略称: NICT)
National Institute of Information and Communication Technology (略称: NICT)
第2著者 氏名(和/英/ヨミ) / /
第2著者 所属(和/英) (略称: )
(略称: )
第3著者 氏名(和/英/ヨミ) / /
第3著者 所属(和/英) (略称: )
(略称: )
第4著者 氏名(和/英/ヨミ) / /
第4著者 所属(和/英) (略称: )
(略称: )
第5著者 氏名(和/英/ヨミ) / /
第5著者 所属(和/英) (略称: )
(略称: )
第6著者 氏名(和/英/ヨミ) / /
第6著者 所属(和/英) (略称: )
(略称: )
第7著者 氏名(和/英/ヨミ) / /
第7著者 所属(和/英) (略称: )
(略称: )
第8著者 氏名(和/英/ヨミ) / /
第8著者 所属(和/英) (略称: )
(略称: )
第9著者 氏名(和/英/ヨミ) / /
第9著者 所属(和/英) (略称: )
(略称: )
第10著者 氏名(和/英/ヨミ) / /
第10著者 所属(和/英) (略称: )
(略称: )
第11著者 氏名(和/英/ヨミ) / /
第11著者 所属(和/英) (略称: )
(略称: )
第12著者 氏名(和/英/ヨミ) / /
第12著者 所属(和/英) (略称: )
(略称: )
第13著者 氏名(和/英/ヨミ) / /
第13著者 所属(和/英) (略称: )
(略称: )
第14著者 氏名(和/英/ヨミ) / /
第14著者 所属(和/英) (略称: )
(略称: )
第15著者 氏名(和/英/ヨミ) / /
第15著者 所属(和/英) (略称: )
(略称: )
第16著者 氏名(和/英/ヨミ) / /
第16著者 所属(和/英) (略称: )
(略称: )
第17著者 氏名(和/英/ヨミ) / /
第17著者 所属(和/英) (略称: )
(略称: )
第18著者 氏名(和/英/ヨミ) / /
第18著者 所属(和/英) (略称: )
(略称: )
第19著者 氏名(和/英/ヨミ) / /
第19著者 所属(和/英) (略称: )
(略称: )
第20著者 氏名(和/英/ヨミ) / /
第20著者 所属(和/英) (略称: )
(略称: )
講演者 第1著者 
発表日時 2011-07-26 14:05:00 
発表時間 25分 
申込先研究会 NC 
資料番号 NC2011-40 
巻番号(vol) vol.111 
号番号(no) no.157 
ページ範囲 pp.109-114 
ページ数
発行日 2011-07-18 (NC) 

[研究会発表申込システムのトップページに戻る]

[電子情報通信学会ホームページ]
IEICE / 電子情報通信学会